La FBI ha avviato una caccia internazionale a quattro lavoratori IT fraudolenti provenienti dalla Corea del Nord (Dprk), accusati di aver utilizzato identità false per ottenere impieghi remoti in aziende statunitensi e sottrarre criptovalute per oltre 825 mila euro, riciclando poi i proventi a beneficio del regime nordcoreano. Il caso evidenzia una minaccia strutturale al lavoro remoto e alle supply chain digitali occidentali.
Cosa leggere
Lo schema dei lavoratori IT fraudolenti nordcoreani
Secondo l’indagine federale, Kim Kwang Jin, Kang Tae Bok, Jong Pong Ju e Chang Nam Il avrebbero operato come una squadra coordinata, candidandosi a ruoli IT con nomi e documenti contraffatti. Una volta assunti da due aziende statunitensi nel 2022, gli uomini hanno abusato dei privilegi di accesso per sottrarre asset digitali, in particolare criptovalute, per un valore superiore a 825 mila euro al momento del furto.
Tutte le operazioni di frode IT nella sezione Contagious Interview
Il modello operativo rappresenta un’evoluzione delle attività cyber nordcoreane: non più solo intrusioni esterne, ma infiltrazione diretta nei team aziendali, con accesso legittimo a sistemi, wallet e repository interni.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Identità false, accesso remoto e furto di asset digitali
Gli imputati avrebbero presentato curricula falsificati, competenze tecniche credibili e una padronanza fluente dell’inglese, oltre al coreano. Dopo l’assunzione, hanno sfruttato l’accesso remoto per trasferire fondi digitali verso wallet controllati dal gruppo, avviando successivamente operazioni di riciclaggio tramite exchange e infrastrutture anonime.
La FBI ha ricostruito i flussi finanziari analizzando transazioni blockchain e log aziendali, individuando pattern riconducibili a operazioni sponsorizzate dallo Stato nordcoreano, in violazione delle sanzioni internazionali.
Mandati federali e accuse formali
Il 24 giugno 2025, il tribunale federale del Distretto Settentrionale della Georgia ha emesso mandati di arresto per i quattro individui, con accuse che includono cospirazione per frode wire, frode wire, e cospirazione per riciclaggio di denaro. I ricercati risultano irreperibili e si ritiene possano trovarsi in Corea del Nord o in paesi terzi cooperanti. Le autorità sottolineano che gli uomini viaggiavano insieme, mantenendo collegamenti operativi con Emirati Arabi Uniti e Laos, utilizzati come hub logistici e finanziari.
Il programma di ricompensa contro i flussi finanziari della Dprk
Il Dipartimento di Stato degli Stati Uniti, tramite il programma Rewards for Justice, offre una ricompensa fino a 4,58 milioni di euro per informazioni in grado di interrompere i meccanismi finanziari della Corea del Nord. Questi includono l’esportazione di lavoratori, il riciclaggio di denaro cyber e le attività a supporto della proliferazione di armi di distruzione di massa. La misura mira a incentivare segnalazioni interne, diserzioni e collaborazione internazionale, colpendo una delle principali fonti di entrate del regime di Pyongyang.
Un modello di finanziamento statale mascherato da lavoro remoto
Secondo la FBI, la Dprk utilizza da anni lavoratori IT all’estero come strumento sistematico per generare entrate illecite. I fondi sottratti tramite frodi, criptovalute e accessi privilegiati vengono poi reindirizzati verso programmi militari e nucleari, trasformando singoli impieghi remoti in asset strategici di uno Stato ostile. Questo caso dimostra come il lavoro ibrido e remoto, se non adeguatamente controllato, possa diventare un vettore privilegiato per operazioni di intelligence economica e cybercrime statale.
Rischi concreti per aziende e organizzazioni
Le aziende colpite non subiscono solo perdite finanziarie dirette, ma anche compromissioni di dati, esposizione di codice sorgente, credenziali interne e danni reputazionali. La FBI avverte che il rischio non si limita al settore tecnologico, ma riguarda qualsiasi organizzazione che affidi accessi critici a personale remoto senza verifiche approfondite. Tra le conseguenze più gravi rientrano anche sanzioni regolatorie, perdita di fiducia dei clienti e possibili implicazioni legali per mancata due diligence.
Le contromisure raccomandate dalla Fbi
L’agenzia federale invita le aziende a rafforzare i processi di verifica dell’identità, includendo controlli incrociati su documenti, interviste video approfondite, validazione delle referenze e limitazione dei privilegi iniziali. È inoltre raccomandato un monitoraggio continuo dei comportamenti di accesso, in particolare per wallet crypto, ambienti di produzione e repository sensibili. L’adozione di controlli di sicurezza zero trust, audit periodici e sistemi di rilevamento comportamentale può ridurre drasticamente l’impatto di questo tipo di infiltrazioni.
Una minaccia cyber con implicazioni geopolitiche
Il caso rafforza l’allerta globale sulle cyberminacce sponsorizzate da Stati, mostrando come frodi apparentemente isolate siano in realtà parte di strategie geopolitiche più ampie. Le attività dei lavoratori IT fraudolenti nordcoreani si inseriscono in un ecosistema che comprende furti di criptovalute, ransomware e spionaggio industriale, spesso attribuiti a gruppi legati al regime.
Domande frequenti sui lavoratori IT fraudolenti della Dprk
Perché la Corea del Nord utilizza lavoratori IT remoti
Per generare entrate illecite aggirando le sanzioni internazionali e finanziare programmi militari e nucleari.
Come avviene il furto di criptovalute
Gli individui ottengono accesso legittimo ai sistemi aziendali e trasferiscono asset digitali verso wallet controllati dal gruppo.
Quali aziende sono più a rischio
Organizzazioni che assumono personale remoto per ruoli IT senza verifiche approfondite e con accessi diretti a sistemi critici.
Come segnalare informazioni utili
È possibile contattare la FBI tramite la tipline ufficiale o il sito tips.fbi.gov, anche in forma anonima.
